El proceso de la

Auditora de SI

Dominio 1

Contenido
Misin de la Auditora de SI
Estndares y Lineamientos
Anlisis de Riesgo
Controles
Ejecucin de la Auditora de SI

Misin de la Auditora de SI
Origen de la funcin de Auditora de SI
Tipos

de Auditora
Evolucin

Cometidos de la Auditora de SI
Gerenciamiento de la Auditora de SI
Reglas y regulaciones

Tipos de Auditora
Segn la naturaleza de las tareas:
Contables /Financieras
Operativas (SI y Calidad)
Global
Segn su vinculacin con la empresa
Interna (sus funciones se establecen a partir de un Estatuto o
Carta de Creacin de la funcin de Auditora)
Externa (Contrato entre Firma auditora y la jerarqua de la
empresa que corresponda- carta de gerencia)

Evolucin de la prctica de Auditora

Evolucin del ambiente de TI
Complejidad

creciente de los sistemas

Computacin de usuario final a bajo costo
Tendencia a la descentralizacin
Outsourcing
Reduccin de tiempos de desarrollo
Utilizacin de comercio electrnico

Aumento de la dependencia de las organizaciones

hacia sus SI
Agregar valor a la prctica de la auditora
Proactividad Vs. reactividad
5

Cometidos de la Auditora de SI
Revisin de sistemas
Revisin de operaciones de produccin
Apoyo a otros auditores
Apoyo a la organizacin
Auditoras al cumplimiento de contratos y
aseguramiento de la calidad

Revisin de sistemas
Sistemas bajo desarrollo
Metodologa de desarrollo
Asesorar a los comits de direccin y control de
cambios

Revisin de operaciones de produccin

Auditoras de infraestructura
Redes y comunicaciones

Revisiones de Seguridad
Revisiones de aplicaciones
Revisiones de procesamiento y backup

Apoyo a otros auditores

Apoyo tcnico y entrenamiento a auditores
internos operativos y contables
Coordinar revisiones de aplicaciones con
auditores internos operativos y contables
Apoyo tcnico a auditores externos

Apoyo a la organizacin
Proveer guas tcnicas, de control y de
seguridad al personal de sistemas
Apoyar el desarrollo de aplicaciones de control
Facilitar la implementacin de programas de
Control Self Assesment
Entrenamiento cruzado con auditores contables
Educacin profesional continua

10

Contratos y aseguramiento de calidad

Verificar la participacin de la gerencia en el
proceso de contratacin.
Asegurar que existen revisiones oportunas del
cumplimiento de los contratos
Verificar la existencia de la funcin de
aseguramiento de la calidad

11

Gerenciamiento de la Auditora
Trminos de la auditora
Planificacin
Determinacin

de reas de auditora
Conocimientos y experiencias requeridas
(organizacin, ambiente tecnolgico, industria y
sector)
Administracin de los recursos
Cronograma

Aprobacin de la planificacin (Comit de

Auditora)
Seguimiento
12

Gerenciamiento de la Auditora
Administracin de recursos de la Auditora
Identificar

el alcance de la auditora
Identificar el universo de la auditora
Determinar los recursos disponibles
Asignar los recursos a las reas de mayor riesgo o de
mayor retorno para la empresa

Restricciones
Reemplazo

reciente de personal
Disponibilidad de recursos capacitados
Fechas de entrega de informes
Falta de documentacin y/o conocimientos

13

Reglas y Regulaciones
Internas y externas
Prcticas

operativas, controles y utilizacin de

sistemas computarizados y datos
Funcin de auditora

Foco en:
Definicin

de la funcin de Auditora
Organizacin
Responsabilidades
Relacin entre Auditoras Financieras y Operativas

14

Reglas y Regulaciones (Cont.)

Evaluacin de cumplimiento de requerimientos externos:

Identificar los requerimientos externos relevantes

Prcticas

y controles de sistemas computarizados

Almacenamiento de datos y programas
Organizacin de servicios de informacin

Documentar leyes y regulaciones

Evaluar si la gerencia y el rea de SI los consideran
Revisar la documentacin interna del rea de SI (verificar

adherencia respecto a leyes y requerimientos del sector)

Determinar adherencia de los procedimientos

establecidos respecto a los requerimientos

15

Estndares y Lineamientos
Estndares

Polticas

Procedimientos

Conceptos Generales de Seguridad

Fundamentos de Seguridad Informtica
Mejores Prcticas

Independiente
de la
Arquitectura
Tecnolgica

Prcticas Operativas de IT
Prcticas Administrativas
Prcticas de Gerenciamiento
Procedimientos Tcnicos y
Administrativos
Controles Tcnicos especficos

Dependiente
de la
Arquitectura
Tecnolgica

Por qu son importantes los estndares y las polticas?

16

Estndares y Lineamientos
Marco provisto por ISACA
Estndares
Lineamientos
Cdigo

de Etica

17

Estndares de ISACA
Objetivo
Brindar

un marco mnimo aceptable de

cumplimiento de los requerimientos incluidos en
el Cdigo de Etica.

Informar

a las partes interesadas de las

expectativas concernientes al desempeo de los
profesionales

18

Lineamientos de ISACA
Objetivo
Brindar

informacin adicional, a aplicar con juicio

profesional, para implementar estndares y
justificar opiniones y/o acciones.

19

Cdigo de tica profesional

Definir y cumplir con estndares, lineamientos y procedimientos de SI
sugeridos.
Servir a los intereses del empleador, accionistas, clientes y pblico en
general de manera diligente, leal y honesta.
Mantener la confidencialidad sobre la informacin obtenida
Ser independiente en esencia y apariencia.
Mantener la competencia en campos vinculados al tema de auditora y SI a
travs del desarrollo de actividad profesional
Reunir y documentar material suficiente para sustentar sus hallazgos.
Informar a quien corresponda sobre el resultado y desarrollo de los
trabajos de Auditora.
Apoyar a la gerencia y clientes en general en la capacitacin para lograr un
entendimiento sobre los hallazgos y observaciones informados.
Mantener una conducta profesional y personal intachable.

20

Anlisis de Riesgo
Definicin de Riesgo
Elementos
Proceso de administracin del riesgo de
negocio

21

Definicin de Riesgo

Amenazas

Vulnerabilidad

Capacidad que tiene una amenaza de explotar las

vulnerabilidades de un activo o conjunto de activos y
causar prdida o daos en stos.

Datos
Software

RIESGOS

Hardware
RRHH, etc.

22

Elementos
Amenazas

Errores
Ataques y acciones
maliciosas
Fraude o robo
Fallas de hard/soft

Activos

Informacin y datos
Hardware
Software
Servicios
Documentos
Personal

Vulnerabilidades
Carencias en el conocimiento de los usuarios
Funciones de seguridad con carencias
Seleccin de passwords pobre
Utilizacin de tecnologa no probada
Transmisin a travs de comunicaciones no protegidas

23

Elementos (Cont.)
Impacto
Prdidas econmicas directas
Romper normas
Prdidas de imagen, buena reputacin
Prdida de confidencialidad
Prdida de oportunidades de negocio
Reduccin del nivel de cumplimiento/eficiencia en las
operaciones
Interrupcin de la continuidad de las operaciones

Riesgo general
Riesgo residual
24

Proceso de adm. del riesgo de negocio

Proceso:
Identificar el activo informtico
Identificar potenciales amenazas y determinar su
impacto en relacin a las vulnerabilidades
asociadas al activo.
Identificar y evaluar los controles existentes que
prevengan, detecten la ocurrencia y/o mitiguen el
impacto.
Definir y evaluar algn control adicional
Clasificar los riesgos identificados considerndolos
junto a los controles que los mitigan

25

Proceso de adm. del riesgo de negocio

Anlisis costo-beneficio de una contramedida
El

costo del control Vs. el beneficio de mitigar el

riesgo (exposicin del riesgo)
El nivel de riesgo que la gerencia est dispuesta a
aceptar
Mtodo preferido para reducir el riesgo (eliminar el
riesgo, minimizar la probabilidad de ocurrencia,
minimizar el impacto, transferir/asegurar)

26

Controles
Definicin
Clasificacin de controles
Estructura de Control Interno
Objetivo de Control Interno
Objetivo de Control de SI
COBIT
Procedimientos de Control de SI

27

Definicin
Polticas, prcticas y estructuras organizativas
diseadas para asegurar razonablemente que se
pueden alcanzar los objetivos del negocio, y que
los eventos indeseables son prevenidos o
detectados y corregidos

28

Clasificacin
Controles preventivos

Identifican potenciales problemas antes de que ocurran

Monitorean operaciones y E/S
Previenen errores, omisiones u actos maliciosos

Controles Detectivos

Identifican y reportan la ocurrencia de un error, omisin u acto

malicioso ocurrido

Controles Correctivos

Minimizan el impacto de una amenaza

Solucionan errores detectados por controles detectivos
Identifican la causa de los problemas y corrigen errores
producidos
Modifican los procedimientos de SI para minimizar futuras
ocurrencias del problema

29

Estructura de Control Interno

Proceso llevado a cabo por el Directorio, la
Gerencia y el Personal de una organizacin para
proveer un aseguramiento razonable del logro de
los objetivos de la misma.

30

Estructura de Control Interno (Cont.)

Promueve:
Logro de los objetivos del negocio a travs de:
Efectividad

y eficiencia de las operaciones

Confiabilidad de los reportes internos
Cumplimiento de las leyes y regulaciones
aplicables

Construccin de controles para los procesos

del negocio
Participacin de la gente (Directorio, Gerencia,
Staff)
31

Objetivo de Control Interno

Contables
Orientados

a la funcin contable
Persiguen la proteccin de activos y correctitud de los registros
contables

Operativos
Orientados

a las operaciones diarias de la organizacin

Persiguen asegurar que funciones y actividades estn
alineadas con los objetivos de la organizacin

Administrativos
Orientados

a las funciones administrativas

Persiguen la eficiencia de las mismas en adherencia a las
normas de la gerencia

32

Objetivo de Control de SI
Una declaracin del resultado o propsito que se
desea lograr mediante la implementacin de
procedimientos de control en una actividad de
Tecnologa de Informacin particular.

33

Objetivo de Control de SI
Estn dirigidos a Directivos, Gerencia y Staff de la
empresa
Conjunto de controles mnimos para asegurar la
efectividad, eficiencia y economa en la identificacin y
utilizacin de los recursos de IT

Ejemplos:
La informacin se encuentra resguardada
Cada transaccin se autoriza e ingresa una sola vez
Se informa de transacciones duplicadas o rechazadas
Se hacen copias de respaldo (Backups)
Cambios de software son debidamente probados y aprobados

34

COBIT

35

COBIT (Cont.)

36

Procedimiento de Control de SI

Polticas y prcticas establecidas por la gerencia

a los efectos de asegurar razonablemente que se
cumplen ciertos objetivos de SI

37

Procedimiento de Control de SI
Areas de inters:
Controles

generales de la organizacin
Acceso a datos y programas
Metodologas de desarrollo de Sistemas
Operaciones de procesamiento de datos
Funciones de configuracin y soporte tcnico
Aseguramiento de la calidad del procesamiento
de datos

38

Procedimiento de Control de SI (Cont.)

Se puede establecer una correlacin entre:
Procedimientos de Control generales
Procedimientos de Control especficos de TI.

Ejemplos:
PC General
Proteccin de Activos

PC SI
Control de acceso fsico al CPD
(Proteccin del equipamiento de
TI)
Control de acceso a datos y
programas
Control de cambios a programas
39

Procedimiento de Control de SI (Cont.)

PC General
Continuidad de las
operaciones del
Negocio

PC SI
Procesos de Backups/Recovery
de datos y programas
Infraestructura redundante
Entrenamiento cruzado

40

Ejercicios
Procedimiento de Control:
Toda la actividad de acceso que no est de acuerdo con
las polticas y procedimientos establecidos de la
organizacin es investigada

Cules son los riesgos asociados a este procedimiento de

control?

41

Ejercicios
Riesgo:
Si el acceso no est restringido basado en el rol del
solicitante, puede resultar muy restrictivo o muy generoso.
En el ltimo caso, la requerida segregacin de tareas
puede ser violada o la confidencialidad, integridad o
disponibilidad de informacin puede correr riesgo.

Describir el procedimiento de control asociado a este

riesgo

42

Ejecucin de una Auditora de SI

Fases de una Auditora
Acciones de la Gerencia (para implementar
recomendaciones)
Documentacin de la Auditora

43

Fases de Auditora
1.
2.
3.
4.
5.
6.
7.
8.

Seleccin del tema/area de Auditora

Definicin de los objetivos de la Auditora
Definicin del alcance de la auditora
Programacin de la Auditora
Procedimientos de Auditora
Procedimientos de evaluacin de resultados
Procedimientos de comunicacin con la
gerencia
Reporte de Auditora
44

Fases de Auditora (Cont.)

1. Seleccin del tema/area de Auditora
Criterios para la determinar el tema de Auditora
Tipos de Riesgos
Tcnica de Evaluacin de Riesgos
Ventajas de aplicar la Tcnica de Evaluacin de
Riesgos

45

1. Seleccin del tema/area de Auditora

Criterios para la determinar el tema de Auditora
Nuevos

temas de control

Nuevas

tecnologas

Disponibilidad
Exigencias
Tcnica

de recursos

normativas

de Evaluacin de Riesgos

46

1. Seleccin del tema/area de Auditora (Cont.)

Tipos de Riesgos
Riesgo

inherente
Riesgo de control
Riesgo de deteccin
Riesgo global de Auditora

47

1. Seleccin del tema/area de Auditora (Cont.)

Tcnica de Evaluacin de Riesgos
Identificacin

del riesgo a travs de la

identificacin y anlisis de las amenazas
asociadas (Anlisis de Riesgo)
Clasificar los riesgos (considerar los controles
asociados)

48

1. Seleccin del tema/area de Auditora (Cont.)

Ventajas de aplicar la Tcnica de Evaluacin de Riesgos
Posibilita una asignacin efectiva de recursos
Da valor agregado a la Auditora enfocndola en los
riesgos ms altos del negocio
Asegurar que se obtuvo la informacin relevante
Establece las bases para un funcionamiento efectivo del
rea de Auditora Interna
Obtiene un resumen del impacto de cada tema de
auditora en relacin a los planes generales del negocio

49

Fases de Auditora (Cont.)

2. Definicin de los objetivos de la Auditora
Dependen de la meta especfica de la auditora
Se basan en probar el cumplimiento del
conjunto de objetivos de control interno
relacionados con esta meta:
Identificar

los procedimientos de control

(deteccin, reduccin, transferencia del riesgo)
Evaluar los procedimientos de control
Evaluar la necesidad de implementar nuevos
controles
50

Fases de Auditora (Cont.)

3. Definicin del alcance de la auditora
Tener en cuenta :
Objetivo de la Auditora
Minimizar el Riesgo de Auditora

51

Fases de Auditora (Cont.)

4. Programacin de la Auditora
Identificar destrezas tcnicas y recursos
requeridos
Identificar fuentes de informacin
Identificar lugares fsicos e instalaciones a
auditar
Actualizar los programas de auditora existentes

52

Fases de Auditora (Cont.)

5. Procedimientos de Auditora
Recopilacin de datos
Identificacin de personas a entrevistar
Identificar y obtener polticas, normas y
directivas del departamento para su revisin
Desarrollar herramientas y metodologa para
probar y verificar los controles.
Identificar y seleccionar enfoque apropiado para
verificar y probar los controles

53

5. Procedimientos de Auditora
Recopilacin de datos
Reglas

de Evidencia

Independecia

de quien la provee
Calificacin de quien la provee
Objetividad
Suficiencia
Tcnicas

para reunir evidencia

Revisar

la estructura organizativa del rea de IT

Revisar estndares para la documentacin de los
Sistemas
Entrevistar al personal apropiado
Observar la operativa y a los empleados

54

5. Procedimientos de Auditora
Recopilacin de datos (Cont.)
Muestreo
Estadstico
No

estadstico

55

5. Procedimientos de Auditora
Recopilacin de datos (Cont.)

Computer Assisted Audit Techniques (CAAT)

Ejemplos:
Generador

de datos de prueba
Sistemas expertos
Utilitarios estndar
Software especializado de auditora

Algunas ventajas :
Reduce

el nivel de riesgo de la auditora

Genera evidencia con independecia del auditado
Da confiabilidad en la informacin reunida

56

5. Procedimientos de Auditora
Recopilacin de datos (Cont.)
Computer

Assisted Audit Techniques (CAATs)

Algunas ventajas :
Se

puede disponer de infomacin en forma ms rpida

Permite cuantificar debilidades de control interno
Mejora la identificacin de excepciones
Fciles de utilizar
No requieren demasiado entrenamiento
Uso flexible (diferentes plataformas, BD, etc.)
Facilidades para documentar la seleccin y
procesamiento de los datos

57

5. Procedimientos de Auditora
Identificar y seleccionar enfoque apropiado para
verificar y probar los controles
Pruebas

de cumplimiento

Pruebas

sustantivas

58

Fases de Auditora (Cont.)

6. Procedimientos de evaluacin de resultados
Evaluacin de fortalezas y debilidades
Materialidad de los hallazgos

59

6. Procedimientos de evaluacin de resultados

Evaluacin de fortalezas y debilidades
Luego de desarrollar un programa de auditora
y reunir evidencia de auditora se debe evaluar
la informacin reunida para emitir una opinin.
El auditor de SI debe tener cuidado profesional

60

6. Procedimientos de evaluacin de resultados

Evaluacin de fortalezas y debilidades (Cont.)
Evaluar

el cumplimiento de los objetivos de control a partir

de la evidencia obtenida
Identificar informacin pertinente y perifrica
Evaluar controles compensatorios y redundantes
Interrelacin de controles
Evaluar eficiencia y eficacia de las operaciones
Considerar tcnicas para analizar la evidencia
(tendencias)
Materialidad del hallazgo (respecto a las normas y realidad
de la organizacin).

61

6. Procedimientos de evaluacin de resultados

Materialidad de los hallazgos
Considerar:
Objetivo de la Auditora
Ambiente de seguridad y control del
sector/organizacin

62

Fases de Auditora (Cont.)

7. Procedimientos de comunicacin con la
gerencia
El auditor de SI debe comunicar sus hallazgos
y recomendaciones a Gerencia General,
Directorio, o Comit de Auditora segn
corresponda
Es una prctica recomendable discutir el
borrador previamente con el gerente del rea
auditada.

63

Fases de Auditora (Cont.)

8. Reporte de Auditora
Estructura y contenido
Tcnicas de exposicin

64

8. Reporte de Auditora (Cont.)

Estructura y contenido
Introduccin

(objetivo, alcance y perodo de la

auditora, trminos generales de referencia, tipo de
procedimientos acordados, etc.)
Conclusiones generales del auditor sobre
adecuacin de procedimientos y controles revisados
La informacin obtenida debe soportar las
conclusiones
Hallazgos y recomendaciones
Seleccionar

la informacin a incluir dependiendo de

quien es el destinatario
Clasificarlos segn su materialidad

65

8. Reporte de Auditora (Cont.)

Estructura y contenido (Cont.)
Descargos

de la gerencia, medidas tomadas en

el transcurso de la auditora, etc.
Respuesta de la Gerencia:
Plan

de accin
Responsable
Fecha estimada
Debe ser realista para la empresa, tanto en
oportunidad como alcance.

66

8. Reporte de Auditora (Cont.)

Tcnicas de exposicin
Resumen

Ejecutivo

Informe
Presentacin

visual

67

Seguimiento
El proceso de Auditora debe ser recurrente
El xito de la Auditora tambin depende de las
medidas que tome la Gerencia
El Auditor de SI debe realizar un seguimiento
de las acciones que tome la Gerencia
El Auditor de SI no es responsable de
implementar las recomendaciones

68

Documentacin de la Auditora
Papeles de trabajo
Notificaciones

a la Gerencia
Programa de Auditoria
Resultados de los testeos
Evidencia
Reporte de Auditoria

Organizado en Bases de Datos Documentales

69

Los Verbos del Auditor

Identificar
Evaluar
Verificar
Recomendar
Hacer

Seguimiento

70